第九章 网络安全技术期末作业.doc

网络安全技术期末报告 --虚拟专用网络技术 2010级信息管理与信息系统 严卫鹏目录 1.VPN产生的背景概述 3 2.VPN概述 3 2.1.VPN简介 3 2.2.VPN的基本原理 4 2.3.VPN的优点 5 3.VPN的关键技术 5 3.1.VPN的隧道技术 5 3.2. VPN的密码技术 6 3.3. VPN的服务质量保证体制(QoS) 6 4.VPN使用的隧道协议 6 5.VPN的分类 7 6.小结 9 1.VPN产生的背景概述 近些年，随着经济全球化的不断推进，一些企业的规模越来越大，特别是跨国公司的出现，使得公司分支机构越来越多。这促进了公司企业对安全的信息交换技术的需求。要实现分布在不同地点的分支机构之间实现信息的交流和共享，实现统一的管理和决策，尤其是要在当今存在许多网络攻击的环境下，必须要有一个比较安全的交换方式。 直接使用开放的互连网将企业和各个分支机构连接在一起，通过端到端的数据通路实现不同地点分支机构之间的信息的交流和共享的方式是完全无法保证信息安全的。经典的端到端传输的弊端有以下几个方面： ①在拨入段，攻击者可以很容易的在拨入链路上实施监听；ISP很容易检查用户的数据；可以通过链路加密来防止被动的监听，但无法防范恶意窃取数据的ISP, 因为ISP接入设备需要解密报文选择路由信息，然后再重新加密发送。 ②在外部段，数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改；监听者可以在其中任一段链路上监听数据；链路加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送；恶意的ISP可以修改通道的终点到一台假冒的网关。 ③在内部段，数据在安全网关中是明文的，因而网关管理员可以直接查看机密数据；网关本身可能会受到攻击，一旦被攻破，流经安全网关的数据将面临风险；内部员工可以监听、篡改、重定向企业内部网的数据报文。 可以通过租用专用网络解决以上问题，但是，租用专用网络费用昂贵、利用不充分、同时企业还需要对所建立的专用网进行维护和管理。网络硬件(如ISDN交换机和Modem)和网络应用软件也需要升级换代，企业会为此付出大量的人、财、物力。因此，传统的租用专线的方式或拨号网络越来越不适合。 为了解决传统专用网络的弊端，减少成本，VPN技术应运而生。 2.VPN概述 2.1.VPN简介 虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。一般来说两台具有独立IP并连接上互联网的计算机只要知道对方的IP地址，是可以直接同通信的。但是位于这两台计算机之后的网络是不能直接互联的，原因是这些私有的网络和公用网络使用了不同的地址空间或协议，即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输，然后在对端解包，还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆，而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。 由于VPN连接的特点，私有网络的通信内容会在公用网络上传输，出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过一个双方协商好的协议进行，这样在两个私有网络之间建立VPN通道是需要一个专门的过程，依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个VPN系统。一个完整的VPN系统一般包括以下三个单元： VPN服务器端。一台计算机或设备用来接收和验证VPN连接的请求，处理数据打包和解包工作。VPN服务器端操作系统可以是WinNT 4.0/Win2000/WinXP/Win2003；相关组件为系统自带；要求VPN服务器已经连入Internet，并且拥有一个独立的公网IP。 ?VPN客户端。一台计算机或设备用来发起VPN连接的请求，也处理数据的打包和解包工作。VPN客户机端操作系统可以是Win98/WinNT 4.0/Win2000/WinXP/Win2003；相关组件为系统自带；要求VPN客户机已经连入Internet。 VPN数据通道。一条建立在公用网络上的数据连接。 其实，所谓的服务器和客户端在VPN连接建立之后在通信的角色是一样的，服务器和客户端的区别在于连接是由谁发起的而已。降低费用　　首先远程用户可以通过向当地的ISP申请账户登陆到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。增强安全性　　VPN通过使用点到点协议用户级身份验证的方法进行验证